新版网络改造方案课件

oooooo界引起巨大反响，许多发达国家和一些发展中国家也相继提出了信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透，使oo业而言，信息化无论是作为战略手段还是战术手段，在企业经oooo:oo造成公司网络规模不断扩张，网络结构也越来越复杂，而陈旧的网庞大的网络架构，也带来网络骨干性能不足、IT运维监控滞后、服务器负载效率低下、网络安全隐患众多等一系列问题，目前，我公司网络系统面临问情况如下：oooo接着是财务NC系统，因为服务器挂在云端，本地是通过VPN去进行访问，oooo频监控数据挤占正常业务带宽通道进行传输，极大造成了局域网带宽资源浪费，oo在网络内部，根据用户的网络使用需求，将用户和网络资源oooooo分析工具后对网络运行状况了如指掌，高效率地处置运行故障oo遵循网络规范和设计原则，为用户打造一个稳定，安全的网络环境设计网络系统的目的主要就是应用。因此，在设计时应当以oo对于内部网络以及外部访问的安全必须高度重视，设计部署可oooo本次网络改造方案设计参考的标准和依据包括:信息及网络系统设计标准u《信息技术通用多八位编码字符集（UCS）》(GB13000.1)u《光纤分布式数据接口（FDDI）高速局域网标准》（ANSIX3T9.5）u《通信光缆的一般要求》（GB/T7427-87）oo结构化布线系统设计标准u《信息技术用户建筑群通用布缆》(ISO/IEC11801:2002)u《信息技术用户建筑群布缆的实施和运行》(ISO/IEC14763-1:1999)u《信息技术用户建筑群布缆的通路和空间》(ISO/IEC18010:2002)《光纤总规范》(GB/T15972.2-1998)u《民用建筑通讯通道和空间标准》（EIATIA569）信息安全设计标准u《计算机软件配置管理计划规范》（GB/T12505--1990）u《计算机信息系统安全保护等级划分规范》（GB17859-1999）《信息技术设备的安全(ideIEC60950:1999)》（GB4943-2001）oou《信息技术安全性评估准则》（GB/T18336.1—2001）u《信息技术信息安全管理实施规则》（ISO17799—2000）u《涉及国家秘密的计算机信息系统安全3-2001)智能化系统设计规范u《智能建筑设计标准》（GB/T50314-2006）u《建筑及居住区数字化技术应用系列标准》（GB/T20299-2006）u《建筑智能化系统设计技术规程》（DB/J01-615-2003）u《公共建筑节能标准》（GB50189-2005）u《民用建筑电气设计规范》（JGJ/T）机房工程系统设计标准u《电子计算机场地规通用规则》（GB/T2887-2000）u《计算机场地安全要求》（GB9361-19oo《电子计算机机房设计规范》（GB50174-1993）oou《防静电活动地板通用规范》（SJ/T10796-2001）u《电信专业房屋设计规范》（YD5003-1994）火灾报警系统设计标准u《高层民用建筑设计防火规范》（GB50045-1995）u《火灾自动报警系统设计规范》(GB5u《建筑设计防火规范》(GBJ16-1987)u《火灾报警控制器通用技术条件》(GB4717-2005)u《点型感烟火灾探测器技术要求及试验方法》(u《点型感温火灾探测器技术要求及试验方法》(15631-1995)综合安防系统设计标准oou《安全防范工程程序和要求》(GA/T75-19u《出入口控制系统技术要求》(GA/T39u《出入口控制系统工程设计规范》(GB5039u《视频安防监控系统技术要求》(GA/T367-2001)u《视频安防监控系统工程设计规范》(GB50395-2007)15408-1994)防雷与接地系统设计标准u《建筑物防雷设计规范》（GB50057-2010）u《建筑物电子信息系统防雷技术规范》（GB50343-2012）u《通信工程电源系统防雷技术规范》(YD5078-199oooo《建筑物的雷电防护》(IEC61024:1990-1998)工程及设备质量验收规范u《智能建筑工程质量验收规范》（GB50339-2003）u《智能建筑工程检测规程》（CECS182：2005）u《建筑及居住区数字化技术应用》（GB/T20299.2）u《安全防范系统验收规则》（GA308-2001）u《安全防范报价设备安全要求和实验方法》（GB16796-1997）u《建筑与建筑群综合布线系统工验收规范》（GB/T50312-2000）其他设计标准u《信息技术互连国际标准》（ISO/IECu《建筑内部装修设计防火规范》（GB-50222－95）u《电气装置安装工程施工及验收规范》（GBJ232-82）oou《民用建筑电气设计规范》（JGJ16-2008）u《供配电系统设计规范》（GB50052-2009）u《低压配电设计规范》（GB50054-201u《工业与民用供电系统设计规范》（GBJ52-82）u《低压配电装置及线路设计规范》（GBJ54-83）u《通用用电设备配电设计规范》(GB50055-2011)u《工业企业照明设计标准》（GB50034-1992）u《采暖通风与空气调节设计规范》（GB50019-2003）u《建筑装饰装修工程质量验收规范》（GB50210-2001）u用户对网络改造项目的其他要求oooo防止外网上的病毒、木马等恶意代码传播到内网中，保护内网终端、服务器；防御来自外网的漏洞扫描行为、入侵行为，使内网免受恶意攻击；oo通过加密隧道构建VPN（虚拟专用网络方便分支机构和外出人员远程接入内网办流量控制器可基于DPI（深度包检测）识别各类上网应用，由此，在防火墙下一代防火墙到核心交换机之间使用链路聚合，来提供冗余保障。oo如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心核心交换机集群主要部署两台S9706组成一个CSS（ClusterSwitchSystem）集群，它是网络虚拟化的一种形态，可实现把多台支持集群的交换机链接起来，从而组成一台更大的交换机，CSSoo交换机多虚一：CSS对外表现为一台逻辑交换机，控制平面合一，统一管理。转发平面合一：CSS内物理设备转发平面合一，转发信息共享并实时同步。跨设备链路聚合：跨CSS内物理设备的链路被聚合成一个TRUNK端口，和下游拓扑，而且极大地提高了网络性能：简化运维：整个CSS被作为一台交换机来管理，简化运维、降低Opex。oo可靠性高：CSS内一台设备故障，其他设备可以接管CSS的控制和转发，避免单无环网络：跨设备的链路聚合，在CSS和其他设备互联时，天然避免了环路问题，无需部署MSTP等复杂的破环协议。链路均衡：跨设备的链路均衡，100％的网络链路和带宽的利用率。的所有功能，都在CSS系统下得到继承，且性能还得到了放大。CSS拥有的这些特质，使其得到了越来越多的认可和接受，并成为了部署简单、高效网络的首选方案。到网络，因此接入层交换机具有低成本和高端口密度特性。oo而本次改造中有14个接入层点位将采用双线上行至核心交换机（集群），并利用OSPFECMP（Equal-CostMultiplePath）特性，在两条专线链路之间进行负载均衡，既增加了网络的可靠性，又能提高了资源的利用率。oo组网方式将各个分支机构分割成单独的局域网，一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。网络进行新的规划和设置，如下表所示：代市气所/24301oo岳池水务/24302前峰水务/24303领水水务/24304华蓥水务/24305城北客户中心/24306城南客户中心/24307西充燃气/24308领水燃气/24309希望接收费/24310城东水所/24311龙门收费/24312武胜水务燃气313岳池电力314oo泛洪，减少IP地址冲突，提高整个网络的安全性和可维护性。具体的实施细节，将在项目施工过程中与甲方相关人员进行深化设计。其中，大部分接入点专线带宽为10M，而少数营业收费点专线带宽为2M，在带宽不够的情况下，可以酌情考虑增加线路带宽。网，将传统话音、专线、视频、数据、VOIP、IPTV等业务在接入层分类收敛，并统一送到骨维护，提高了端到端电路的服务等级，这种专线技术具备以下优点：ooMSTP电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景MSTP专线带宽灵活，在2M到1000M的区间内，可以灵活选择。安全性有保障，比纯粹基于互联网的VPN业务安全性更高。组网灵活，可支持星形网络、环形网络、点到点连接、多点汇聚等。oo性能实时智能分析，因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和智oo够实时捕获并保存网络通讯流量，具备对长期的网络通讯数据进行快速数据挖掘和回溯分析常原因的智能回溯分析，提升了对关键业务系统的运行保障能力和问题处置效率。这样就在内网构建起了一套基于流量的实时监控和回溯体系，不但可以精确了解网络整全隐患，实现核心链路/核心区域/核心业务运行可视化，彻底解决“黑盒运维”。在核心CSS集群旁挂一台专业的IDS(入侵检测系统)，该设备可通过抓取来自核心交换机oo攻击结果，以保证网络系统资源的机密性、完整性和可用性。oooo发起业务访问请求时，由前端的负载均衡器来对所有访问请求进行反向代理和统一调度，进oo日志、表空间分配等方法来提高数据库I/O性能，加快数据的存取速度。oo的稳定性，不受接入视频监控的干扰。oo通过大力进行网络改造后，具有达到如下特点和优势：高性能和高可用的网络骨干形成一个高性能、可扩展、可靠的高效网络。oo性强的网络基础平台。提高故障处理效率，保证网络的高效稳定运行。集系统，并结合业务系统性能优化，来提高服务器的并发会话处理能力与数据库I/O性能，加快业务的响应速度。oo障带宽资源，提高员工上网的合规性和网络使用效率，同时，在汇聚交换机处设置Qos策通过部署下一代防火墙和入侵检测系统（IDS）的安全策略，可进一步强化内网的信息安全保障，防止各种网络攻击和入侵活动，提高网络安全系统的防护免疫力。效的管理和安全运营提供有力支撑和保证oo当前，智能手机、iPad等终端已经普及，移动应用程序、Web2.0、社交网络应用于企业运营的方方面面。企业网络边界变得模糊，信息安全问题日益复杂。通过IP和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。键业务体验。持续、简单、高效地提供下一代网络安全。精准的访问控制oo传统防火墙主要通过端口和IP进行访问控制，下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高：的入侵防御，效率更高，误报更少。运用多种技术手段，准确识别包括移动应用及Web应用内的6000+应用协议及应用的不同oo通过Radius、LDAP、AD等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS管理和深度防护。全面的防护范围一代防火墙的防护范围提出了更高要求。USG6000具备全面的防护功能：集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身，简化部署，提高管理效率。oo入侵防护（IPS超过3500+漏洞特征的攻击检测和防御。支持Web攻击识别和防护，如跨站脚本攻击、高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新；对传输的文件和内容进行识别过滤。可识别120+种常见文件类型，防止通过修改后缀名的病毒攻击。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤，防止企业关键信息通过文件泄露。Anti-DDoS：可以识别和防范SYNflood、UDPflood等10+种DDoS攻击，识别500多万种病采用基于云的URL分类过滤，预定义的URL分类库已超过8500万，阻止员工访问恶ooVPN、MPLSVPN、GRE等；基于应用灵活的管理流量带宽的上限和下限，可基于应用进行策略路由和QoS标签着色。支持对URL分类的QoS标签着色，例如：优先转发对财经类网站的访问。于应用进行负载均衡。支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、VPN等。不同用户可在同一台物理设备上进行隔离的个性化管理。oo简单的安全管理下一代防火墙的防护范围和控制精度比传统防火墙大大增加，这对使用者的经验和技能提出了更高的要求。华为USG6000利用SmartPolicy功能降低对使用者的要求，更好的进行对网盘类应用允许下载并进行病毒检测，但禁止文件上传。根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化，使其符合最小授权原则。在企业遗留大量端口防护策略，需要转换为NGFW使用的应用防护策略时尤其有oo自动发现重复的和长期没有使用的策略，精简策略规模，简化管理；高效防护性能代防火墙要求在多重防护的情况下仍保持高性能。ooIntelligenceAwarenessEngine采用了一次解析多业务并行处理的架构，确保多重防应用识别、IPS、AV采用统一的描述语言，一次性处理，一次性分析，减少重复的操作；不同于UTM对各个安全功能串行处理，USG6000在完成统一解析后，各安全业务检查是并oo的处理方式让整体性能更高。组网应用oo企业内网边界防护在企业内网部门和无线接入的汇聚网络部署下一代防火墙。对PC用户通过防火墙策略基于用户信息进行访问控制。对移动用户采用基于用户+应用的策略控制，实现精细权限管理，并记录日志。对邮件、IM、文件传输等进行内容过滤和审计，监控社交类应用，避免数据泄露。互联网出口防护在互联网出口部署下一代防火墙，在出口进行访问控制，阻止一切非认证访问。启用入侵防御功能，提供万兆级应用层威胁实时防护。oo对邮件、IM、文件传输等进行内容过滤和审计，监控社交类应用，避免数据泄露。基于用户、应用、时间进行QoS管理，优先保障核心用户和关键业务的服务质量。控员工可以访问的网站和可以使用的网络应用。云数据中心边界防护环境提供超乎寻常的安全体验。防御特性，保障数据安全。通过Anti-DDoS特性，对拒绝服务攻击流量进行清洗，保障数据中心对外业务。VPN远程互联ooSymbian多种操作系统支持，提供泛终端的接入能力。产品规格扩展槽位接口模块类型产品形态尺寸（W×D×H）mm满配重量HDD冗余电源最大功率工作环境非工作环境USG63504GE+2Combo2*WSICWSIC:4×GE（RJ45）BYPASS442×421×43.6选配300GB单硬盘，支持热插拔选配温度：0~45℃(不含硬盘)/5℃~40℃(包含硬盘)湿度：10%～90%温度：-40℃~70℃/湿度：5%～95%ooS9706产品概述S9700系列交换机是华为公司面向下一代园区网核心和数据中心业务汇聚而专门设oo升级能力，支持40GE和100GE以太网标准。该产品基于华为公司自主研发的通用路由平台VRP开发，在提供高性能的L2/L3层交换服务基础上，进一步融合了MPLSVPN、硬件IPV6、桌面云、视频会议、无线等多种网络业务，提供不间断升级、不间断转发、硬件OAM/BFD、环网保通过部署内置华为首款以太网络处理器ENP的X1E单板，S9700可以升级为敏捷交换机，客户可以享有敏捷交换机带来的创新体验。S9700系列提供S9703、S9706、S9712三种产品形态。产品特性S9700升级为敏捷交换机，让网络更敏捷地为业务服务S9700支持随板AC，业务单板同时兼具无线AC功能，无需额外购买AC硬件；整机最大可管理2KAP，32K用户；整机转发性能可达T-bit，解决外置AC处理性能瓶颈，助力客户从容面向高速无线时代。持务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。ooSVF2.0超级虚拟交换网，创新实现不仅将盒式交换机纵向虚拟为框式交换机板卡，而且为一台设备进行管理，提供业界最简化网络管理方案。iPCA网络包守恒算法，改变了传统利用模拟流量做故障定位的检测模型，可对任意业务流随时随地逐点检测网络质量，无需额外开销；可在短时间内立刻检测业务闪断性故障，检测直接精准到故障端口，实现从“粗放式运维”到“精准化运维”的大转变。S9700支持ServiceChain业务编排功能，ServiceChain对网络增值业务处理能力(如下一代防火墙NGFW)进行虚拟化，以便园区网络实体(如交换机、路由器、AC、AP、终端设备)可以无差别的利用这些能力，而不受物理位置的约束，提供一种更灵活部署园区增值业务的解决方案，减少客户设备投资和维护成本。创新的CSS集群技术交换效率、灵活性和易管理性方面具有强大的优势。oo消除单点故障，避免了业务中断；大幅增加集群的距离，突破了传统集群距离的限制；易管理性：整个弹性架构共用一个IP管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本；运营级高可靠性设计S9700支持硬件级3.3ms高精度BFD快速链路检测功能，能为静态路由/RIP/OSPF/BGP/ISIS/VRRP/PIM/MPLS等协议提供稳定均匀的毫秒级检测机制，大大提高了S9700支持快速自愈保护技术HSR(High-speedSelfRecovery)，基于华为ENP板卡，oo独家实现端到端IPMPLS承载网50ms倒换保护，进一步提升网络可靠性。S9700支持硬件级以太OAM，包括完善的802.3ah、802.1ag和ITU-Y.1731，能够对网络定位实现网络快速故障检测、定位与倒换。S9700支持ISSU业务运行中软件升级，设备软件升级过程中确保关键业务和服务不中断。支持优雅重启技术(GracefulRestart)，实现NSF无中断转发，有效保证全网高速可靠运行。强大的业务处理能力和数据应用，为企业提供高可用、低时延、全业务的一体化网络解决方案。支持分布式L2/L3MPLSVPN功能，支持MPLS、VPLS、HVPLS、VLL，满足企业VPN等完善的二、三层组播协议，支持PIMSM、PIMDM、PIMSSM、MLD、IGMPSnooping，满oo足多终端高清视频监控和视频会议接入需求。软件平台提供多种路由协议满足企业建网要求，支持从中小企业到超大型跨国公司级大规模路由，支持IPv6，能够为企业网络提供平滑升级能力。丰富的网络流量分析功能S9700支持Netstream网络流量分析，支持V5/V8/V9多种报文格式，支持聚合流量模板，户及时优化网络结构、调整资源部署。完善的安全保护机制NGFW新一代防火墙业务处理板，在提供传统防火墙、身份认证nti-DDoS等基础防御功能外，同时支持IPS、反垃圾邮件、Web安全、应用控制等专业安全功能。证多种认证方式，有效应对哑终端接入、移动设备接入和集中式IP地址分配等多种接入方oo式的安全挑战，确保企业网络安全。提供2级CPU保护机制，支持1KCPU硬件保护队列，可实现数据和控制的分离处理，防止全面的IPv6解决方案S9700软硬件平台均支持IPv6，取得工信部IPv6入网认证和IPv6Ready第二阶段S9700全面支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等IPV6单播路由协议，支持MLDv1/v2、MLDSnooping、PIM-SM/DMv6、PIM-SSMv6等IPv6组播特性，为用户提供完善的IPv4/IPv6解决方案。S9700支持丰富的IPv4向IPv6过渡技术包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道等隧道技术，保证IPv4网络向IPv6网络的平创新节能打造绿色低碳网络oo按流量动态调整功率，降低整机功耗11%。支持端口休眠，无流量不耗电。术，有效降低转速，并延长风扇使用寿命。支持IEEE802.3az能效以太网标准，线卡收发器具备低功率闲置模式，支持正常工作与低功率状态快速转换，低流量低功耗网络的平滑过渡。6支持AP接入控制、AP域管理和AP配置模板管理支持射频模板管理、统一静态配置和集中动态管理支持WLAN基本业务、QoS、安全和用户管理支持有线无线统一用户管理支持PPPoE、802.1X、MAC、Portoo支持分组分域分时授权方式支持直接对业务报文标记以获得丢包数量和丢包率的实支持二三层网络网络级和设备级丢包数量和丢包率统计支持与第三方厂商混合组网管理支持Access、Trunk、HybrMAC地址功能支持MAC地址自动学习和老化oo支持基于端口和VLAN的MAC地址学习限制802.1s)支持BPDU保护、Root保护、环路保护支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6议支持IGMPv1/v2/v3、IGMPv1/v2/v3Snooping支持组播协议报文抑制功能oo支持MPLS基本功能支持LACP、支持跨设备E-Trunk支持BFDforBGP/IS-IS/O支持NSF、GRforBGP/IS-IS/OSPF/LDP支持以太网OAM802.3ah和802.1ag(硬件级)oo支持ACL、CAR、Remark、Schedu支持SP、WRR、DRR、SP+WRR、SP+DRR等队列支持Console、Telnet、SSH支持SNMPv1/v2/v3等网络管支持BootROM升级和远程在线升级oo支持RADIUS和HWTACACS用户登录认证命令行分级保护，未授权用户无法侵入Flood攻击、广播风暴攻击、大流量攻击支持ICMP实现ping和traceroute功能支持Firewall功能支持NAT功能支持IPSec功能支持IPS入侵防御系统ooAC：90V～290VS5700-28C-EI产品概述S5700-EI增强型千兆以太网交换机系列（以下简称S5700-EI），是华为公司自主研发的oo千兆以太网交换机，提供灵活的全千兆接入以及万兆上行端口。该系列交换机基于新一代高性能硬件和华为公司统一的VRP（VersatileRoutingPlatform）软件平台，具有智能iStack堆叠，杰出的网流分析，灵活的以太组网，完善的VPN隧道，多样的安全控制，成熟的IPv6特性，轻松的运行维护，更多的端口组合等特点。广泛应用于企业园区接入、汇聚，数据中心千兆接入等多种应用场景。更多的端口组合S5700-EI支持多种上行扩展插卡，提供高密度的GE/10GE上行接口。其中S5710-EI系列具有4个固定10GESFP+端口，通过上行扩展插卡可实现64×GE＋4×10GE，48×GE+8×10GE，或56×GE＋6×10GE等不同端口组合，充分满足不同用户对带宽升级的实际需求，完善的VPN隧道ooS5700-EI支持Multi-VPN-InstanceCE（MCE）功能。S5700-EI支持下接不同的VPN减少单个VPN用户对网络部署的投资。S5710-EI支持MPLSL3VPN、MPLSL2VPN(VPWS\VPLS)、MPLS-TE、MPLSQoS等功能，可作为高质量企业专线接入设备，是业界为数不多的高性价比盒式MPLS交换机。灵活的以太组网S5700-EI不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标准ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。ERPS是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现以太环网的毫秒级快速保护倒换。SmartLink/VRRP实现了上行链路的备份，极大地提升了接入侧设备的可靠性。多样的安全控制ooS5700-EI支持MAC地址认证和802.1x认证，实现用户策略（VLAN、QoS、ACL）的动S5700-EI支持完善的DoS类防攻击、用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻击，包括SYNFlood、Land、Smurf、ICMPFlood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC欺骗、DHCPrequestflood、改变DHCPCHADDR值等等。S5700-EI通过建立和维护DHCPSnooping绑定表，对不符合绑定表项的非法报文直接丢弃。利用DHCPSnooping的信任端口特性，S5700-EI还可以保证DHCP服务器的合法性。S5700-EI支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。杰出的网流分析S5710-EI支持NetStream网络流量分析功能。作为网络流量输出器，S5710-EI根据用户配置，实时采集指定的数据流量，通过标准的V5/V8/V9报文格式，将数据上送给网络流oo帮助用户及时优化网络结构、调整资源部署。S5700-EI支持sFlow功能。S5700-EI按照标准定义的方式，对转发的流量按需采样，并轻松的运行维护S5700-EI支持华为EasyOperation简易运维方案，提供新入网设备Zero-Touch安装、故障设备更换免配置、USB开局、设备批量配置、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700-EI支持SNMPV1/V2c/V3、CLI（命令行）、Web网管、SSHv2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。EasyDeploy：Commander交换机收集下挂Client的拓扑信息，并基于拓扑保存Client对应的启动信息；支持Client免配置更换。支持对Client批量下发配置和脚本，并支持对配置下发结果进行查询。Commander交换机支持收集并显示整网能耗信息。S5700-EI支持GVRP，实现VLAN的动态分发、注册和属性传播，减少手工配置量，oo保证配置正确性。S5700-EI还支持MUXVLAN功能，MUXVLAN分为主VLAN和从VLAN，从VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从VLAN之间可以相互通信；互通型从VLAN内的端口之间互相通信；隔离型从VLAN内的端口之间不能互相通信。S5700-EI智能iStack堆叠，将多台支持堆叠特性的交换机组合在一起，从逻辑上组合成一台虚拟交换机。iStack堆叠系统通过多台成员设备之间冗余备份，提高了设备级的可靠性；通过跨设备的链路聚合功能，提高了链路级的可靠性。iStack提供了强大的网络扩展备登录堆叠系统，对堆叠系统所有成员设备进行统一配置和管理。议（RIPng/OSPFv3/BGP4+/IS-ISv6）、IPv6overIPv4隧道（手工隧道/6to4隧道/ISATAP隧oo道）。S5700-EI既可以部署在纯IPv4或IPv6网络，也可以部署在IPv4与IPv6共存的网络，充分满足网络从IPv4向IPv6过渡的需求。产品规格MAC地址表S5700C提供两个扩展插槽，分别支持上行插卡和堆叠卡oo支持RRPP环型拓扑和RRPP多实例支持SmartLink树型拓朴和SmartLink多实支持BFDForOSPF/IS-IS支持BPDU保护、根保护和环回保护支持MPLSL3VPN支持MPLSL2VPN(VPWS/VPLS)支持MPLSQoS静态路由、RIPv1/2、RIPng、OSPF、OSPFoo支持IPv6Ping、IPv6Tracert、IPv6支持6to4、ISATAP、手动配置支持MLDv1/v2snooping（MulticastLisDiscoverysnooping）支持IGMPv1/v2/v3Snoopi支持捆绑端口的组播负载分担支持基于端口的组播流量统计支持IGMPv1/v2/v3、PIM-SM、PIM-DM、支持对端口入方向、出方向进行速率限制oo支持WRR、DRR、SP、WRR＋SP、DRR+SP队支持报文的802.1p和DSCP优先级重新标记支持L2（Layer2）~L4（Laye地址、TCP/UDP协议源/目的端口号、协议、VLAN的包支持基于队列限速和端口整形功能oo支持IEEE802.1x认证，支持单端口最大用户数限制支持AAA认证，支持Radius、HWTACACS支持虚拟电缆检测(VirtualCableTest)VCMPVLAN集中管理协议（和VTP相似功能）额定电压范围：100-240VAC；5额定电压范围：-48--60VDCoo随着网络规模的日益增大和网络问题的日趋复杂，单一的网络分析终端将无法有效胜任对整网的全面分析。科来网络回溯分析系统用分布式远程管理和历史数据回溯分析的对挖掘的网络数据进行精细化诊断与分析。结果传回进程控制台，使得网络管理人员可以从容地实现远程管理和分析。本系统网络部署拓扑示意图如下所示：oo分析服务器据统计，对网络可能存在的潜在问题迚行诊断预警，它是整个系统的核心部分。它负责接收控制台的各种命令请求，并将结果实时的返回给控制台。控制台oo责指定分析服务器的远程管理和配置，控制台与分析服务器可以建立多对多的连接。分析服务器的部署点和数量选择要根据网络规模和分析范围而定，通常要求在每个支干通道连接到分析服务器。oo网络回溯分析系统能够实现在关键网络的分布式长期实时分析能力，其主要的功能与价将全网可视化、透明化，解决“黑盒”运维oo流量、广播/组播流量、上行/下行流量、数据包、利用率、TCP同步数据包数、TCP同步确认的异常流量，大力提升运维效率，解决“黑盒运维”。数据流可视化、透明化oo应用负载实时监测oo网络数据回溯分析网络异常和安全隐患预警和分析ooDoS攻击、TCP端口扫描、木马等安全威胁。oo网络异常和安全威胁预警快速定位故障源头o异常流量安全分析的数据包为基础，提供了快速、高效的诊断视图，大大提高了对网络故障的响应时间。层次化、智能化的故障诊断视图oo网络回溯分析技术进行故障诊断有两个特点：回溯分析，可以提供故障前、中、后的全景分析能力。数据包分析，把故障定位到数据包级别，使故障定位更加准确、透彻。及故障发生后进行全方位监控。oo基于流量峰值、TCP新建会话、响应失败等参数实时报警，及时发现异常，在故障发生前进行有效规避，避免或减少网络故障损失。网络回溯分析技术实现了对网络的长期监控，深力，大大提高了对故障排除的响应时间。基于时间、IP和应用的回溯，重现故障发生时流量，摆脱了网络故障时隐时现无法彻oo上仍然可以分析”，极大的方便了网络管理工作。历史数据回溯和取证科来网络回溯系统具有7*24小时数据包捕获存储能力（历史数据包存储时间依据客户的实时通讯流量以及回溯设备的存储空间大小而定将网络中所有通讯数据包进行完整存储。1.基于时间的数据挖掘与数据检索析目标的网络通讯数据。oo基于时间进行数据挖掘2.多角度，多层次的挖掘分析在各层次间进行快速跳转，可方便的回溯至任意挖掘路径节点。oo基于IP会话开展多角度的关联分析3.问题的追溯分析科来网络回溯分析系统能长期记录保存所有访问运系统以及各业务系统各主机间的通讯数据，一旦出现异常，能够将存储的数据包提取出来进行分析，提供有效的分析依据。4.安全问题的分析取证深入分析，完整记录通讯对象的历史通讯数据，不漏过任何蛛丝马迹提供直接有效的分析依据和证据。oo基于回溯的数字取证链路流量梳理路流量的梳理，可以实现以下功能：1.减少网络中的未知流量，可以第一时间发现网络中任何非业务流量或者新上线业2.提供快速检索、逐层挖掘，掌握所有网络业务的详细会话信息；3.掌握每种业务流量的历史基准、趋势变化，为业务规划提供准确的依据；oo挖掘应用交易的详细过程是业务排障的重要手段业务性能监控科来网络回溯分析系统能够实现对业务流量的梳理，实现对关键业务性能的实时监控分监控，实现对业务系统的重点监控分析，从而及时发现业务性能异常。oo业务关键性能参数监控系统支持对用户指定的自定义应用进行实时监控和质量分析，能够实时分析应用流量的通讯质量参数，监控应用系统的网络传输质量，包括：传输层RTT延时、丢包/重传统计、会话发起量、会话异常中断量等等。oo数据传输时间统计等等。用的网络通讯异常告警。保护IT投资质量和效率，针对性地开展的业务性能优化，最大程度进行IT资源优化配置，保护客户IT投指标类型指标项指标值硬盘2×1TB基本配置RAID模式RAID1oo采集口2-4个电口管理口最大处理性能800Mbps性能最大会话数存储空间最大控制台连接数4个硬件规格尺寸高42.4mm×宽434mm×深394.3mm250W服务器专用电源oo运行时环境温度运行时相对湿度安全标准运行时环境温度运行时相对湿度安全标准EMCMTBCF环境和规范环境和规范中国CNCA或CCC（ClassA）可靠性89,600小时可靠性产品概述ooBIG-IP新平台，为更多用户交付更多应用。F5®BIG-IP®应用交付网络平台可以管理第4层到第7层的大规模流量负载，通过将高性能交换结构、专用硬件和先进的软件结合在一起，F5使用户能够在不产生瓶颈的情况下灵活地制定深层的应用决策。借助BIG-IP平台的高性能，您可以整合设备，从而节约数据中心的管理成本，同时节约电力、空间和制冷资源，并且这其中仍有改进的空间。通过BIG-IP硬件和软件完美的统一运行，BIG-IP新性能业界最为领先的技术指标(L7RPS,SSL和CompressionThroughput)从未被超越的ADC整合服务能力面对DDoS攻击时最强的防护能力最高的性能和电力消耗比可扩展性oo根据您的业务实时按需扩展可灵活操作扩展的多租户虚拟化集合实现真正灵活的应用弹性部署和扩展品质及可靠性专为应用交付需求而设计的硬件运营级别的高质量和高可用保障在线时间拥有全世界领域的用户选择和满意度为应用交付需求而设计的整合硬件和软件系统实现高性能和按需扩展满足运营级别高可用需求-实现99.999%高可用能力持续提供多年的产品售后支持为问题的发现和解决提供实时在线管理系统lBIG-IP新平台的主要优点利用专用硬件整合您的基础设施BIG-IP硬件平台专门为应用交付而设计。一台设备可以配置多种功能，如服务器负载均衡、全球数据中心负载均衡、DNS服务、接入管理、web性能优化和WAN优化。对应用服务器进行卸载ooBIG-IP系统采用高性能SSL和压缩硬件以及先进的连接管理功能，将需要大量处理能力的任务从应用服务器中移出，并更高效地使用这些资源。保护您的网络安全降低您的运营成本支持能力，您可以减少用于进行配置、升级和维护的时间。通过使用获得80Plus金银认证的高效率电源，可以降低您数据中心的电力和冷却成本。最大限度的延长运行时间通过采用热插拔组件、冗余电源、冗余风扇、紧凑型闪存、多重引导支持以及始终开启oo的管理功能，您可确保您的关键基础设施是基于可靠硬件而构建的。通过在传统的主/备用配智能化性能至关重要和每秒钟的7层交易量对于ADC满足现代Web应用和基础设施日益增长的需求至关重要。例如，或者转换特定应用的有效负载。BIG-IP设备拥有必要的智能化和性能，可实现最大数量的应用层决策，同时保护您的数据和基础架构的安全。简化您的网络BIG-IPADC设备通过卸载服务器的负载，并且整合设备，来帮您简化网络，从而节约数据中心的管理成本，同时节约电力、空间和制冷成本。由于BIG-IP平台卓越的性能和可扩展性，您在交付要求最高的应用时也能够减少所需的SSL硬件加速—卸载高成本的SSL处理负载，以市场上最高的SSL性能加快密钥oo硬件压缩—能够经济高效地卸载服务器中的流量压缩处理负载，缩短页面加载时OneConnect™连接池—将数百万个TCP请求汇聚到数百个服务器端的连接中，增加服务器容量，并确保请求得到高效的处理。嵌入式数据加速技术（ePVA）—提供高性能的L4吞吐能力和拒绝服务（DoS）攻击防护。ePVA使用现场可编程门阵列（FPGA）技术，并与TMOS和软件紧密集成，以太网端口与处理器之间的高性能互连4层处理卸载，实现领先的吞吐能力并减少软件负载支持硬件加速的SYN攻击防护硬件检测并阻挡20多种DoS攻击为低延迟协议（例如，财务信息交换(FIX)协议）提供可预测的性能支持oo独特的架构和拥有专利的软硬件创新为F5提供了无与匹敌的能力，其中包括：F5ScaleN架构ScaleN使您能够利用所有可用的CPU资源，实现多个BIG-IP设备的虚拟化或者水平集群，从而创建一个有弹性的应用交付网络基础架构，可有效地适应您的业务需求变化。最新的BIG-IP设备可在各个系列中升级至更高性能的型号。您无需购买新的硬件，按需许可使企业能够确定应用交付服务的最佳规模并支持续增长。在单个设备上支持大量BIG-IP版本和产品模块。多租户设备虚拟化由F5独特的虚拟集群多处理(vCMP®)技术提供，使某些硬件平台能够运行多个BIG-IP客户端实例。每个BIG-IP客户端实例看起来和运行时就像是一个物理BIG-IP设备，拥有专门分配的CPU、内存和其他资源。每个vCMP客户端客户采用多租户特性进一步细分，例如分区和路由域，这样可以隔离每护配置和策略，从而实现更好的管理控制。当把路由域/分区与vCMP客户端相结合时，oo基于项目的租用和性能保证，同时管理单个整合的应用交付平台，并提高利用率。应用扩展—通过使BIG-IP全部处于活动状态的方法增—旨在高效且无缝地扩展BIG-IP应用交付服务。应用服务集群在应用层为多达八个设备的高设备服务集群可以在全活动部署模式下同步所有设备配置，以实现多达32个活动节点之间设备的统一策略部署和执行。这保证了统一的设备配置，有助于简化操作。ooF5TMOS平台BIG-IP设备的核心是F5的TMOS®操作系统，它为实现最佳应用交付而提供了统一的系统，让您具备跨所有服务的全面可视性、灵活性和控制力。您可以利用TMOS智能地适应应用及网络的多样化且不断演进的需求。F5SYNCheckF5采用软件SYN缓存和硬件SYNcookie合作的方法防止大规模SYN洪水DDoS攻击。这种能力在所有TMOS平台上都可以以软件形式实现，并且在某些硬件平台上利用嵌入式包加速(ePVA)字段可编程门阵列(FPGA)提供更高的性能(在BIG-IP10200v设备上达到每秒8000万个SYNcookies)。在检测到SYN洪水攻击时，FPGA打开SYNCheck™功能，以防止无效会话到达服务器，或者耗尽BIG-IP设备资源。SYNCheck的独特之处在于，它可以用在单个虚拟IP/应用上，即如果一个应用受到攻击，其他应用不受影响。F5是唯一在L4和全代理L7模式中实施基于硬件的SYNCookies的ADC。下一代ADC设备和创新，以保证即使最苛刻的Web应用也能做到高可用、安全且快速。全新BIG-IP硬件在各oo了优异的按需灵活性以适应不断变化的业务需求。产品规格技术参数CPU存储介质最大并发会话数吞吐量交换背板指标和性能8个10/100/1000MRJ45以太网端口2个可选的SFP千兆/万兆光纤端口Intel双核（共4个处理内核）500GB硬盘5,000,00056Gb/soo*HTTP压缩VLAN个数IP路由表项七层处理能力支持的虚拟服务器数量VIPRealServer*SSL支持API接口2.5Gbps4096无限制550,000会话数/秒212,000会话数/秒40,000无限制包含：2,000TPS（2K密钥）最大：2,000TPS（2K密钥）4Gbps批量加密支持所有基于TCP/IP的协议：SpanningTree(IEEE802.1d)ooVLAN（IEEE802.1q）Trunk（IEEE802.3ad）10BASE-T/100BASE-TX(IEEE802.3,802.3u)SNMP(1213MIB-II,1643Ethernet,1493Bridge)支持的网络协议支持的网络协议OSPFBGPTelnet(RFC854)ooVLAN与VLANTAG链路聚合故障切换10/100/1000M端口IPVersion*协议层保护安全的管理RS-232C控制口支持工业标准802.3ad链路聚合，支持MSTP10/100/1000fullorhalf-duplex(auto-negotiation)withRJ-45connectionsforUTPports支持ipv4和ipv6，防止Dos攻击,SYNC攻击以及Slasmmer蠕虫入侵提供HTTP（S）,FTP(S)，SMTP等协议层安全可以通过HTTPS、SSH进行安全的远程管理，本地可以通过CONSOLE终端进行管理DB-9serialconnection,femaleDCEinterfaceforout-of-bandmanagement尺寸1U行业标准机架安装式机箱20磅（9.1公斤）（单电源）操作环境：环境运行温度：32°至104°F(0°至40℃)运行相对湿度：40℃时10至90%包含一个400W（80+金牌效率）oo认证标准双电源和DC可选UL60950-1第2版CAN/CSAC22.2No.60950-1-07EN60950-1:2006，第2版IEC60950-1:2006，第2版针对所有CB国家评估EN55022:2006+A1:2007EN61000-3-2:2006EN61000-3-3:1995+A1:2000+A2:2005USAFCCClassAoo典型功耗输入电压产品概述丰富的出口一体优化设备。PA-500处理能力为120Mbps，特别适用于同时在线500人以下的企业、政府、普教、酒店、Wifi覆盖场馆等客户群体。PA-500不但可以满足用户对网络流量最细致粒度的可视、可控、可审计的核心需求，同时能够提供业内领先的应用分流、o应用负载均衡及其他丰富功能。应用识别与流量整形每时每刻，都有超过6T的互联网流量穿越Panabit智能应用网关，Panabit在现网Panabit拥有业内最庞大的测试队伍和最全面的测试环境，这是Panabit始终保持最快的未知应用样本获取速度、最精确的协议识别率的生态基础。开放的数据面操作系统PanaOS不同于大多数厂商使用改装过的Linux/FreeBSD等通用操作系统，Panabit使用自研的数据面操作系统PanaOS，采用虚拟化技术完成了数据面和控制面分离，从驱动、内存管理到任务调度等数据面核心任务都由PanaOS系统永不宕机超高稳定性。路由、NAT、负载均衡、应用识别与控制等关键基础设施内置PanaOS之中，为用户提供一体化解决方案提供了坚实基础。oo超高处理性能电等多个城域网10G节点案例中用实际表现赢得用户一致好评。在企业用户群体，Panabit以技术指标100%线上可达、功能备升级扩容便捷而著称。应用路由与负载均衡协议定向优化DNS实际是互联网上最脆弱的基础设施，通过DNS重定向、劫持、丢弃等动作，实现应急恢复网络、信息推送、缓解DNS服务器压力、形成类CDN机制、域名封锁、保护服务器安全、镜像缓存、多运营商入口地址智能解析等效果。URL重定向、Web信息提示、HTTP文件类型控制、HTTP浏览/发帖动作控制、HTTPoo请求报文镜像，支持第三方URL库。用户实时信息Panabit轻松应对实时海量数据的应用识别、策略处理、监控统计、报表输出。即况、连接信息、虚拟身份、共享用户、移动终端等深度信息。更精准的日志审计度日志，并具备无可比拟的低漏报/误报率。在当前相关部门对于敏感应用事件逐渐提高关注度的背景下，对比非DPI专业厂商更加满足82号令要求。流量管理最精确的DPI应用识别基于应用、IP、链路、流向、群组、个体、共享设备数、在线用户数、时间oo等多重机制灵活组合的带宽管理策略分析统计户深度信息、移动终端识别、趋势图表、对比分析一体化网关应用路由、负载均衡、智能DNS、NAT、PPPOE、认证、DHCP、HTTP访问控制、MAC绑定、DDNS、配置同步、权限分级、管理日志、系统告警安全防护应用并发连接数限制、伪IP防护、内网异常流量源实时追溯、垃圾包过滤、SYNFlood流量日志、应用日志、IP日志、NAT日志、流量流向、用户行为分析、域名统计、事件日志（微博、QQ、URL、淘宝、POP3、Radius认证拒绝…）高可用性双OS备份与Bypass双重保障机制oo吞吐量（最大）DPI并发连接数NAT并发连接数新建连接数包转发速率PPPOE帐户数负载均衡链路数管理接口（独立）数据接口（标配）电源规格外形尺寸（W*D*H，mm）PA-50050000/秒2000000/秒千兆电口*1千兆电口*5150W单电源1U（428*338*44.5）oo工作温度0-40工作湿度5-95%（不结露）产品概述McAfeeIntruShield具有高自动化和易管理性，设计灵活，能够分阶段执行，这就克服了老旧入侵检测系统中固有的误报率，也使用户能够开发出合适的策略，以阻止独特IT基础架构中的攻击。序，抵御拒绝服务攻击。（1）防护已知攻击oo为了实现高性能的网络攻击特征检测，IntruShield体系结构不仅采用了创新的征更新，确保了